shiro
一)shiro简介
基于java的开源安全管理框架(其实就是RBAC框架),能够完成认证,受权,会话管理,加密,缓存等功能;前端
相同的还有Spring security,可是security依赖spring。shiro能够在java se和java ee中使用,独立性强。java
记住一点,Shiro 不会去维护用户、维护权限;这些须要咱们本身去设计/提供;而后经过 相应的接口注入给 Shiro 便可。mysql
Authentication:
身份认证/登陆,验证用户是否是拥有相应的身份;web
Authorization:
受权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用 户是否能作事情,常见的如:验证某个用户是否拥有某个角色。算法
或者细粒度的验证某个用 户对某个资源是否具备某个权限;spring
Session Manager:
会话管理,即用户登陆后就是一次会话,在没有退出以前,它的全部信 息都在会话中;会话能够是普通 JavaSE 环境的,也能够是如 Web 环境的;sql
Cryptography:
加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储; 数据库
Web Support:
Web 支持,能够很是容易的集成到 Web 环境;apache
Caching:
缓存,好比用户登陆后,其用户信息、拥有的角色/权限没必要每次去查,这样能够提升效率;api
Concurrency:
shiro 支持多线程应用的并发验证,即如在一个线程中开启另外一个线程,能把权限自动传播过去;
Testing:
提供测试支持;
Run As:
容许一个用户伪装为另外一个用户(若是他们容许)的身份进行访问;
Remember Me:
记住我,这个是很是常见的功能,即一次登陆后,下次再来的话不用登陆 了。
二):shiro架构
(一)从外部看架构
API:
应用代码直接交互的对象是Subject,也就是说Shiro 的对外API核心就是Subject; 其每一个 API 的含义:
Subject:
主体,表明了当前“用户”,这个用户不必定是一个具体的人,与当前应用交互 的任何东西都是 Subject,如网络爬虫,机器人等;
即一个抽象概念;全部 Subject 都绑定 到 SecurityManager,与 Subject 的全部交互都会委托给 SecurityManager;
能够把 Subject 认 为是一个门面;SecurityManager 才是实际的执行者;
SecurityManager:
安全管理器;即全部与安全有关的操做都会与 SecurityManager 交互; 且它管理着全部 Subject;
能够看出它是 Shiro 的核心,它负责与后边介绍的其余组件进行 交互,若是学习过 SpringMVC,你能够把它当作 DispatcherServlet 前端控制器;
Realm:
域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager要验证用户身份,
那么它须要从 Realm 获取相应的用户进行比较以肯定用户身份是否合法;也须要从 Realm 获得用户相应的角色/权限进行验证用户是否能进行操做;
能够把 Realm 当作 DataSource,即安全数据源。
(二)从内部看shiro
Subject:
主体,能够看到主体能够是任何能够与应用交互的“用户”;
SecurityManager :
相 当 于 SpringMVC 中 的 DispatcherServlet 或 者 Struts2 中 的 FilterDispatcher;是 Shiro 的心脏;全部具体的交互都经过 SecurityManager 进行控制;
它管 理着全部 Subject、且负责进行认证和
受权、及会话、缓存的管理。
Authenticator:
认证器,负责主体认证的,这是一个扩展点,若是用户以为 Shiro 默认的 很差,能够自定义实现;
其须要认证策略(Authentication Strategy),即什么状况下算用户认证经过了;
Authrizer:
受权器,或者访问控制器,用来决定主体是否有权限进行相应的操做;即控制 着用户能访问应用中的哪些功能;
Realm:
能够有 1 个或多个 Realm,能够认为是安全实体数据源,即用于获取安全实体的; 能够是 JDBC 实现,也能够是 LDAP 实现,或者内存实现等等;
由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;因此咱们通常在应用中都须要实现本身 的 Realm;
SessionManager:
若是写过 Servlet 就应该知道 Session 的概念,Session 呢须要有人去管理 它的生命周期,这个组件就是 SessionManager;
而 Shiro 并不只仅能够用在 Web 环境,也 能够用在如普通的 JavaSE 环境、EJB 等环境;
全部呢,Shiro 就抽象了一个本身的 Session 来管理主体与应用之间交互的数据;
这样的话,好比咱们在 Web 环境用,刚开始是一台 Web 服务器;接着又上了台 EJB 服务器;
这时想把两台服务器的会话数据放到一个地方, 这个时候就能够实现本身的分布式会话(如把数据放到 Memcached 服务器)
SessionDAO:
DAO 你们都用过,数据访问对象,用于会话的 CRUD,好比咱们想把 Session 保存到数据库,那么能够实现本身的 SessionDAO,经过如JDBC 写到数据库;
好比想把Session到 Memcached 中,能够实现本身的 Memcached SessionDAO;另外 SessionDAO中可使用 Cache 进行缓存,以提升性能;
CacheManager:
缓存控制器,来管理如用户、角色、权限等的缓存的;由于这些数据基本 上不多去改变,放到缓存中后能够提升访问的性能
Cryptography:
密码模块,Shiro 提升了一些常见的加密组件用于如密码加密/解密的
(三)简单的一个 Shiro 应用流程:
1、 应用代码经过 Subject 来进行认证和受权,而 Subject 又委托给 SecurityManager;
2、 咱们须要给 Shiro 的 SecurityManager 注入 Realm,从而让 SecurityManager 能获得合法的用户及其权限进行判断。
Shiro 不提供维护用户/权限,而是经过 Realm 让开发人员本身注入。
二:身份验证
身份验证:
即在应用中谁能证实他就是他本人。通常提供如他们的身份 ID 一些标识信息来代表他就是他本人,如提供身份证,用户名/密码来证实。
在 shiro 中,用户须要提供 principals (身份)和 credentials(证实)给 shiro,从而应用能验证用户身份:
principals:身份,
用户的身份信息,是Subject的标识属性,可以惟一标识Subject。
即主体的标识属性,能够是任何东西,如用户名、邮箱等,惟一便可。
一个主体能够有多个 principals,但只有一个 Primary principals,通常是用户名/密码/手机号。
credentials:证实/凭证,
即只有主体知道的安全值,如密码/数字证书等。
最多见的 principals 和 credentials 组合就是用户名/密码了。
Subject:主体
Realm:验证主体的数据源。
流程:
代码实现
数据库表:
(java se *.ini为数据源)
shiro.ini
[users]
zhangsan=111
lisi=222
pom.xml <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency>
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下由于java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class AuthenticationDemo { public static void main(String[] args) { // 1.建立SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.经过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来须要验证的 // 而ini文件中存放username和pwd至关于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
流程:
代码分析:
2.一、首先经过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来建立一个SecurityManager 工厂;
2.二、接着获取 SecurityManager 并绑定到 SecurityUtils,这是一个全局设置,设置一次便可;
2.三、经过 SecurityUtils 获得 Subject,其会自动绑定到当前线程;若是在 web 环境在请求结束时须要解除绑定;而后获取身份验证的 Token,如用户名/密码;
2.四、调用 subject.login 方法进行登陆,其会自动委托给 SecurityManager.login 方法进行登陆;
2.五、如 果 身份验证失败请捕 获 AuthenticationException 或 其 子 类 , 常 见 的 如 :
DisabledAccountException(禁用的账号)、
LockedAccountException(锁定的账号)、
UnknownAccountException(错误的账号)、
ExcessiveAttemptsException(登陆失败次数过多)、
IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过时的凭证)等
对于页面的错误消息展现,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描账号库;
2.六、最后能够调用 subject.logout 退出,其会自动委托给 SecurityManager.logout 方法退出。
从如上代码可总结出身份验证的步骤
一、收集用户身份/凭证,即如用户名/密码;
二、调用 Subject.login 进行登陆,若是失败将获得相应的 AuthenticationException 异常,根据异常提示用户错误信息;不然登陆成功;
三、最后调用 Subject.logout 进行退出操做。
流程以下:
一、首先调用 Subject.login(token)进行登陆,其会自动委托给 Security Manager,调用以前必须经过 SecurityUtils. setSecurityManager()设置;
二、SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
三、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处能够自定义插入本身的实现;
四、Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
五、Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,若是没有返回/抛出异常表示身份验证失败了。此处能够配置多个 Realm,将按照相应的顺序及策略进行访问。
(java se *.ini jdbcRalm)
<dependencies> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.1.10</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.20</version> </dependency> <dependency> <groupId>com.mchange</groupId> <artifactId>mchange-commons-java</artifactId> <version>0.2.3.4</version> </dependency> </dependencies> </project>
[main]
#采用第三方JdbcRealm链接数据库
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
#实例化数据源
dataSource=com.alibaba.druid.pool.DruidDataSource
#设置参数
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/test
dataSource.username=root
dataSource.password=root
#将数据源设置到realm中
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true
securityManager.realms=$jdbcRealm
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下由于java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class AuthenticationDemo { public static void main(String[] args) { // 1.建立SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.经过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来须要验证的 // 而ini文件中存放username和pwd至关于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
认证策略:Authentication Strategy
有三种策略:
(1)FirstSuccessfulStrategy:
只要有一个Realm验证成功便可,只返回第一个Realm身份验证成功的认证信息,其余的忽略。
(2)AtLeatOneSuccessfulStrategy:
只要有一个Realm验证成功便可,和FirstSuccessfulStrategy不一样,将返回全部Realm身份校验成功的认证信息。
(3)AllSuccessfulStrategy:
全部Realm验证成功才算成功,且返回全部Realm身份认证成功的认证信息,若是有一个失败就失败了。
ModularRealmAuthenticator默认是AtLeatOneSuccessfulStrategy
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.xpl</groupId> <artifactId>shiroDemo</artifactId> <version>1.0-SNAPSHOT</version> <dependencies> <dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId> <version>1.9.2</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </dependency> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.10</version> </dependency> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.7</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <version>1.7.5</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.2.3</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.1.10</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.20</version> </dependency> <dependency> <groupId>com.mchange</groupId> <artifactId>mchange-commons-java</artifactId> <version>0.2.3.4</version> </dependency> </dependencies> </project>
[main]
#采用第三方JdbcRealm链接数据库
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
#实例化数据源
dataSource=com.alibaba.druid.pool.DruidDataSource
#设置参数
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/test
dataSource.username=root
dataSource.password=root
#将数据源设置到realm中
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm
#设置验证器(验证策略)
authenticationStrategy= org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$authenticationStrategy
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下由于java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class AuthenticationDemo { public static void main(String[] args) { // 1.建立SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.经过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来须要验证的 // 而ini文件中存放username和pwd至关于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
自定义Readlm
jdbcRealm已经实现从数据库中获取用户信息并验证的能力,但其灵活性差,若是须要实现特殊需求时将不能支持,此时可经过自定义Realm来实现身份认证;
Realm是一个接口,其中定义了根据token获取认证信息的方法。好比:AuthenticatingRealm实现了获取身份信息的功能,AuthorizingRealm实现了获取权限i信息的功能。
自定义Realm须要继承AuthorizingRealm,这样既提供了身份认证的自定义方法,也能够实现受权的自定义方法;
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //受权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 String pwd="admin"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, getName()); return simpleAuthenticationInfo; } }
[main]
#这个名字无所谓随便起
myrealm= com.xpl.AuthenticationDemo
securityManager.realm=$myrealm
三:受权
受权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操做等)。
在受权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
主体
主体,即访问应用的用户,在 Shiro 中使用 Subject 表明该用户。用户只有受权后才容许访问相应的资源。
资源
在应用中用户能够访问的任何东西,好比访问 JSP 页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要受权后才能访问。
权限
安全策略中的原子受权单位,经过权限咱们能够表示在应用中用户有没有操做某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:
访问用户列表页面
查看/新增/修改/删除用户数据(即不少时候都是 CRUD(增查改删)式权限控制)
打印文档等等。。。
如上能够看出,权限表明了用户有没有操做某个资源的权利,即反映在某个资源上的操做允不容许,不反映谁去执行这个操做。因此后续还须要把权限赋予给用户,即定义哪一个用户
容许在某个资源上作什么操做(权限),Shiro 不会去作这件事情,而是由实现人员提供。
Shiro 支持粗粒度权限(如用户模块的全部权限)和细粒度权限(操做某个用户的权限,即实例级别的),后续部分介绍。
角色
角色表明了操做集合,能够理解为权限的集合,通常状况下咱们会赋予用户角色而不是权限,即这样用户能够拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术
总监、CTO、开发工程师等都是角色,不一样的角色拥有一组不一样的权限。
隐式角色:
即直接经过角色来验证用户有没有操做权限,如在应用中 CTO、技术总监、开发工程师可使用打印机,假设某天不容许开发工程师使用打印机,此时须要从应用中删除相
应代码;再如在应用中 CTO、技术总监能够查看用户、查看权限;忽然有一天不容许技术总监查看用户、查看权限了,须要在相关代码中把技术总监角色从判断逻辑中删除
掉;即粒度是以角色为单位进行访问控制的,粒度较粗;若是进行修改可能形成多处代码修改。
显示角色:
在程序中经过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪一个角色不能访问某个资源,只须要从角色表明的权限集合中移除便可;无须修改多处代码;
即粒度是以资源/实例为单位的;粒度较细。
请 google 搜索“RBAC”和“RBAC 新解”分别了解“基于角色的访问控制”“基于资源的访问控制(Resource-Based Access Control)”。
基于角色的访问控制(隐式角色)
[users]
zhangsan=admin,role1
lisi=admin,role2
[rolers]
roler1=user:add
roler2=user:*
roler3=user:update,user:delete
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //受权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 System.out.println(username); String pwd="admin"; String salt="xpl"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, getName()); return simpleAuthenticationInfo; } }
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.authz.UnauthorizedException; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下由于java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; import org.junit.Assert; import java.sql.SQLOutput; import java.util.ArrayList; import java.util.Arrays; import java.util.List; public class Test { public static void main(String[] args) { // 1.建立SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.经过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来须要验证的 // 而ini文件中存放username和pwd至关于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } try { // 此基于角色的访问控制(即隐式角色) // 基于角色的两种方式:区别在于checkRole会抛出异常而hasRole不会 // //判断拥有角色:role1 // Assert.assertTrue(subject.hasRole("role1")); // //判断拥有角色:role1 and role2 // Assert.assertTrue(subject.hasAllRoles(Arrays.asList("role1", "role2"))); // //判断拥有角色:role1 and role2 and !role3 // boolean[] result = subject.hasRoles(Arrays.asList("role1", "role2", "role3")); // Assert.assertEquals(true, result[0]); // Assert.assertEquals(true, result[1]); // Assert.assertEquals(false, result[2]); //断言拥有角色:role1 // subject().checkRole("role1"); //断言拥有角色:role1 and role3 失败抛出异常 // subject().checkRoles("role1", "role3"); }catch (UnauthorizedException e){ System.out.println("受权失败!!!"); } // subject.logout(); } }
这种方式的缺点就是若是不少地方进行了角色判断,可是有一天不须要了那么就须要修改相应代码把全部相关的地方进行删除;这就是粗粒度形成的问题。
基于资源的访问控制(显示角色)
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //受权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 System.out.println(username); String pwd="admin"; String salt="xpl"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, getName()); return simpleAuthenticationInfo; } }
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.authz.UnauthorizedException; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下由于java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; import org.junit.Assert; import java.sql.SQLOutput; import java.util.ArrayList; import java.util.Arrays; import java.util.List; public class Test { public static void main(String[] args) { // 1.建立SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.经过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来须要验证的 // 而ini文件中存放username和pwd至关于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } try { // 此基于资源的访问控制(即显示角色) //判断拥有权限:user:create Assert.assertTrue(subject.isPermitted("user:create")); //判断拥有权限:user:update and user:delete Assert.assertTrue(subject.isPermittedAll("user:update", "user:delete")); //判断没有权限:user:view Assert.assertFalse(subject.isPermitted("user:view")); //断言拥有权限:user:create subject.checkPermission("user:create"); //断言拥有权限:user:delete and user:update subject.checkPermissions("user:delete", "user:update"); //断言拥有权限:user:view 失败抛出异常 subject.checkPermissions("user:view"); }catch (UnauthorizedException e){ System.out.println("受权失败!!!"); } // subject.logout(); } }
也能够叫基于权限的访问控制,这种方式的通常规则是“资源标识符:操做”,便是资源级别的粒度;这种方式的好处就是若是要修改基本都是一个资源级别的修改,不会对其余模块代码产生影响,粒度小。可是实
现起来可能稍微复杂点,须要维护“用户——角色,角色——权限(资源:操做)”之间的关系。
四:ini配置
五:编码/加密
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。
编码/解码
Shiro 提供了 base64 和 16 进制字符串编码/解码的 API 支持,方便一些编码解码操做。Shiro内部的一些数据的存储/表示都使用了 base64 和 16 进制字符串。
↓base64 编码/解码操做
String str = "hello"; String base64Encoded = Base64.encodeToString(str.getBytes()); String str2 = Base64.decodeToString(base64Encoded); Assert.assertEquals(str, str2);
↓16 进制字符串编码/解码操做
String str = "hello"; String base64Encoded = Hex.encodeToString(str.getBytes()); String str2 = new String(Hex.decode(base64Encoded.getBytes())); Assert.assertEquals(str, str2);
还有一个可能常常用到的类 CodecSupport,提供了 toBytes(str, "utf-8") / toString(bytes, "utf-8")用于在 byte 数组/String 之间转换。
散列算法
散列算法通常用于生成数据的摘要信息,是一种不可逆的算法,通常适合存储密码之类的数据,常见的散列算法如 MD五、SHA 等。通常进行散列时最好提供一个 salt(盐),好比加
密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,能够到一些 md5 解密网站很容易的经过散列值获得密码“admin”,即若是直接对密码进行散列相对来讲破
解更容易,此时咱们能够加一些只有系统知道的干扰数据,如用户名和 ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来讲更难破解。
[main]
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher credentialsMatcher.hashAlgorithmName=md5 credentialsMatcher.hashIterations=1
#这个名字无所谓随便起
myrealm= com.xpl.AuthenticationDemo
myrealm.credentialsMatcher=$credentialsMatcher
securityManager.realm=$myrealm
package com.xpl; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; public class AuthenticationDemo extends AuthorizingRealm { @Override public String getName() { return "myRealm"; } //受权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } //验证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取输入的用户名 String username = (String) token.getPrincipal(); // 这里省略根据上边获取的用户名查询数据库步骤而直接使用变量模拟 System.out.println(username); String pwd="a092bbb2935adc0661da625dd17ad2a5"; String salt="xpl"; // 将用户信息封装到simpleAuthenticationInfo中并返回 SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, pwd, ByteSource.Util.bytes(salt), getName()); return simpleAuthenticationInfo; } }
package com.xpl; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; //这个要看一下由于java.lang包有可能导进来 import org.apache.shiro.mgt.SecurityManager; public class Test { public static void main(String[] args) { // 1.建立SecurityManager工厂,加载ini配置文件 Factory<SecurityManager> securityFac = new IniSecurityManagerFactory("classpath:test.ini"); // 2.经过factory获取SecurityManager实例 SecurityManager securityManager = securityFac.getInstance(); // 将SecurityManager实例设置进运行环境里边 SecurityUtils.setSecurityManager(securityManager); // 获取Subject Subject subject = SecurityUtils.getSubject(); // 生成token注意:这里的euserName和pwd是传过来须要验证的 // 而ini文件中存放username和pwd至关于数据库的username、和pwd UsernamePasswordToken token = new UsernamePasswordToken("li三", "admin"); // 判断token try { subject.login(token); if(subject.isAuthenticated()){ System.out.println("验证成功!!"); } }catch (AuthenticationException e){ System.out.println("用户名或密码错误!!!"); } subject.logout(); } }
六:Realm及相关对象
七:集成Web
八:拦截器机制
九:JSP标签
十:会话管理
十一:缓存机制
十二:与Spring整合
十三:RememberMe
十四:SSL
十五:单点登陆
十六:综合实例
十七:OAuth2集成
十八:并发登陆人数控制
十九动态URL权限控制
二十:无状态Web应用集成
二十一:授予身份及切换身份
二十二:集成验证码
二十三:多项目集中权限管理及分布式会话
二十四:在线会话管理
- 1. 【shiro】shiro初识
- 2. 【Shiro】小读Shiro Filter
- 3. shiro之shiro授权
- 4. 【shiro】(3)---了解Shiro
- 5. Shiro入门--Hello Shiro
- 6. 【Shiro】- springmvc 整合 shiro
- 7. Shiro Review——Shiro介绍
- 8. shiro篇--初始shiro
- 9. Shiro-Shiro的架构
- 10. 【shiro】shiro学习笔记1 - 初识shiro
- 更多相关文章...
-
每一个你不满意的现在,都有一个你没有努力的曾经。